Het creëren van veilige wachtwoorden wordt steeds belangrijker om persoonlijke en zakelijke gegevens te beschermen. Traditioneel denken veel mensen dat een goed wachtwoord bestaat uit een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens. Hoewel dit type wachtwoord op het eerste gezicht veilig lijkt, is het in werkelijkheid vaak minder veilig dan we denken, vooral als het niet lang genoeg is. In deze blogpost bespreken we het concept van entropie en hoe dit helpt om echt veilige wachtwoorden te genereren. We laten ook zien waarom een serie willekeurige woorden een betere keuze kan zijn dan een complex ogend wachtwoord.
Wat is entropie in de context van wachtwoorden?
Entropie is een maat voor de mate van willekeur of onvoorspelbaarheid in een systeem. In de context van wachtwoorden meet entropie hoe moeilijk het is om een wachtwoord te raden of te kraken. Hoe hoger de entropie, hoe meer mogelijke combinaties er zijn, en hoe moeilijker het is voor een aanvaller om het wachtwoord te raden via methoden zoals brute-force aanvallen.
De grenzen van complexe wachtwoorden
Een veelgebruikt complex wachtwoord zoals “P@ssw0rd!” lijkt op het eerste gezicht veilig, omdat het verschillende soorten tekens bevat. Echter, de entropie van dit wachtwoord is relatief laag, omdat het slechts uit 9 tekens bestaat en veel voorkomende patronen volgt (zoals het vervangen van letters door vergelijkbare cijfers of symbolen). Hierdoor zijn dergelijke wachtwoorden vaak opgenomen in woordenboeken die worden gebruikt door hackers voor brute-force aanvallen.
Daarnaast zijn complexe wachtwoorden moeilijk te onthouden, wat ertoe leidt dat gebruikers ze vaak opschrijven of hergebruiken op meerdere sites, wat de beveiliging verder vermindert.
De kracht van willekeurige woorden
Een alternatieve methode om veilige wachtwoorden te genereren is door gebruik te maken van een reeks willekeurige woorden. Stel je voor dat je een wachtwoord hebt als “appel-vloerkleed-nevelig-banaan”. Dit wachtwoord bestaat uit vier woorden die op zichzelf niets met elkaar te maken hebben, wat het zeer moeilijk maakt om te raden. Omdat elk woord een breed scala aan mogelijke combinaties toevoegt, neemt de entropie aanzienlijk toe.
Bijvoorbeeld, als elk woord is gekozen uit een lijst van 2048 woorden, heeft een wachtwoord dat bestaat uit vier woorden (zoals hierboven) een entropie van ongeveer 44 bits. Dat betekent dat er 2^44 (17.592.186.044.416) mogelijke combinaties zijn.
Hoe lang duurt het om een wachtwoord te kraken?
Laten we eens kijken naar hoe lang het zou duren om een wachtwoord met verschillende niveaus van entropie te kraken. Stel dat een brute-force aanvaller 1 miljard (10^9) pogingen per seconde kan doen, wat redelijk is met de huidige technologie.
Complex wachtwoord van 8 willekeurige tekens: Dit wachtwoord, met een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens, heeft ongeveer 30 bits aan entropie, wat neerkomt op 2^30 = 1.073.741.824 mogelijke combinaties.
Berekening:
Tijd om te kraken = (1.073.741.824 combinaties) / (1.000.000.000 pogingen per seconde)
= 1,07 seconden gemiddeld.Willekeurig gekozen wachtwoord met 4 woorden uit een lijst van 2048 woorden: Dit wachtwoord heeft een entropie van 44 bits, wat neerkomt op 2^44 = 17.592.186.044.416 mogelijke combinaties.
Berekening:
Tijd om te kraken = (17.592.186.044.416 combinaties) / (1.000.000.000 pogingen per seconde)
= 17.592 seconden, oftewel ongeveer 4,88 uur gemiddeld.
Deze berekeningen tonen aan dat een wachtwoord bestaande uit een reeks willekeurige woorden vele malen langer duurt om te kraken dan een complex wachtwoord met een lagere entropie. En dit verschil wordt exponentieel groter naarmate de entropie toeneemt, bijvoorbeeld door het aantal woorden in het wachtwoord te vergroten.
Waarom willekeurige woorden beter zijn
De kracht van wachtwoorden die zijn opgebouwd uit willekeurige woorden ligt in de balans tussen veiligheid en bruikbaarheid:
- Hogere entropie: Door meerdere woorden te combineren, neemt de entropie aanzienlijk toe, waardoor het wachtwoord veel moeilijker te kraken is.
- Gemakkelijker te onthouden: Een reeks willekeurige woorden is voor de meeste mensen gemakkelijker te onthouden dan een complex wachtwoord van dezelfde lengte. Dit vermindert de kans dat gebruikers hun wachtwoord moeten opschrijven of hergebruiken.
- Weerstand tegen brute-force aanvallen: Omdat het aantal mogelijke combinaties exponentieel toeneemt met elk toegevoegd woord, zijn wachtwoorden op basis van willekeurige woorden veel beter bestand tegen brute-force aanvallen.
Tips voor het genereren van veilige wachtwoorden
- Gebruik een wachtwoordmanager: Een wachtwoordmanager kan sterke, willekeurige wachtwoorden genereren en opslaan, zodat je niet elk wachtwoord zelf hoeft te onthouden.
- Vermijd veelvoorkomende combinaties: Zelfs bij het gebruik van woorden, vermijd voorspelbare combinaties of veelvoorkomende frases.
- Maak gebruik van lange wachtwoorden: Streef naar wachtwoorden die minstens vier woorden bevatten. Hoe langer het wachtwoord, hoe hoger de entropie.
- Voeg variatie toe: Overweeg om naast woorden ook cijfers of symbolen toe te voegen om de entropie verder te verhogen, maar doe dit op een manier die het wachtwoord nog steeds gemakkelijk te onthouden maakt.
Voor extra beveiliging is het aan te raden om twee-factor authenticatie in te schakelen. Dit voegt een extra laag van beveiliging toe, zelfs als je wachtwoord gecompromitteerd raakt, waardoor je account veel beter beschermd is.
Resumerend
Het creëren van een veilig wachtwoord draait niet alleen om complexiteit, maar om het maximaliseren van entropie. Door wachtwoorden te maken uit een serie willekeurige woorden, kun je de entropie verhogen en tegelijkertijd een wachtwoord creëren dat gemakkelijk te onthouden is. Combineer dit met twee-factor authenticatie (2FA) voor de beste bescherming. Het begrijpen en toepassen van het principe van entropie en het gebruik van 2FA vormen één van de belangrijkste stappen in het beschermen van je online accounts.